十大常見安全漏洞-越來越難應對的網絡安全攻擊

來源:比特網 2016-03-10 08:16:00

眾所周知,黑客入侵、網絡攻擊以及其他數字化安全漏洞從來都有百害而無一利。一個行業的煩惱可能是另一個行業的噩夢——如果你讀過Veracode的《軟件安全報告聲明,卷6》,就會知道大多數安全漏洞在某些特定行業更為頻繁。

1.代碼質量問題

這個問題排在第一是有理由的。根據Veracode的研究,所有受調查企業提交的應用至少有半數存在代碼質量問題。雖然難以置信,這也是一種行動倡議:所有行業都應該切實執行安全編碼,比如早期的專家投入,頻繁且自動化的對問題進行排查等。

2.加密問題

加密問題是最常見的安全漏洞之一,因為密碼學隱藏了重要的數據:如果密碼、支付信息或個人數據需要存儲或者傳輸,它們必須通過某種方法進行加密。密碼學也是一個自行其是的領域,白帽、黑帽專家不計其數,因此,請找專家解決加密問題,而不是埋頭苦幹。以上都是常識。

3.信息泄露

信息泄露的形式很多,但基本定義非常簡單:攻擊者或其他人看到了不該看的信息,且該信息可造成危害(比如:發起注入攻擊,或盜取用戶數據)即為信息泄露。因為信息泄露的形式千變萬化,必須找一個真正謹慎的專家來處理。無需多言。

4.CRLF注入

CRLF注入,從基本層麵來說,是一種更強大的攻擊方式。在意想不到的位置添加行末命令,攻擊者可以注入代碼進行破壞。根據Veracode的研究,這些破壞包括:網站篡改、跨站腳本攻擊、瀏覽器劫持等。盡管這類攻擊可能比其他攻擊更容易防範,但若是忽視這一攻擊,就會釀成大禍。

5.跨站腳本攻擊

另一種注入攻擊——跨站腳本注入(也成為XSS攻擊),可通過濫用網站內的動態內容以執行外部代碼實現。這類攻擊的後果包括:用戶賬戶劫持,Web瀏覽器劫持等等。在包含允許輸入問號、斜杠等常用編碼字符的網站中,這類攻擊尤為常見。此Veracode博客詳細介紹了該攻擊的形式、後果,以及解決方法。

6.目錄遍曆攻擊

目錄遍曆攻擊十分可怕,因為它不需要特定的工具或知識就能造成傷害。確實,隻要有Web瀏覽器並掌握基本概念,任何人都可以對缺少防備的網站發起攻擊,讀取大的文件係統並獲取其中包含的“幹貨”——用戶名與密碼、重要文件甚至網站或應用的源代碼。鑒於此類攻擊的門檻極低,強烈建議谘詢專業人員解決該問題。

7.輸入驗證不足

簡單地說,妥善地處理並檢查輸入信息能確保用戶傳給服務器的數據不造成意外的麻煩。反之,如果輸入驗證不足,就會導致許多常見的安全漏洞,諸如惡意讀取或竊取數據,會話及瀏覽器劫持,惡意代碼運行等等。不要猜測用戶的輸入行為,要以偏執的心態對待用戶輸入。

8.SQL注入

盡管排名較低,SQL注入由於易於實現,已經成為最常見的安全漏洞之一。同是注入攻擊,SQL注入則專注於SQL查詢語句。攻擊者反複地將這些查詢語句填入輸入欄,給用戶、網站管理員以及企業造成極大的麻煩。想了解更多信息?這篇Veracode博客對SQL注入有更為詳細的說明。

9.證書管理

當壞人未經授權進入安全係統時,就會有壞事發生。有時,這些壞事是此類入侵的直接結果;而別的時候,這類入侵會泄露一些信息,導致更大的攻擊。不論是哪種情況,在準許讀取重要信息時采取謹慎的措施以驗證身份,永遠都不是壞主意。

10.時間與狀態錯誤

這類漏洞最為狡猾,是由於分布式計算的興起,多係統、多線程硬件等運行同時任務造成的。與其他攻擊一樣,它也有多種形式,若是被攻擊者利用,執行未經授權的代碼,也會造成驗證的後果。此外,與多方麵攻擊相似,必須求助專業協作才能防禦這類漏洞。比較,你無法抵禦你不能預測的攻擊。

保持係統安全

如今,多樣化的攻擊手段層出不窮,傳統安全解決方案越來越難以應對網絡安全攻擊。如果你想自己的應用在安全方麵無懈可擊,不要羞於尋求幫助,真的出現漏洞,就為時過晚了。OneRASP應用安全防護利器,可以為軟件產品提供精準的實時保護,使其免受漏洞所累。

研究人員發現3D打印技術存在重大安全漏洞2016-03-05

OpenSSL發現了新的安全漏洞超1100萬網站受影響2016-03-04

豌豆莢某處員工安全漏洞可造成內部敏感信息泄露2016-03-04

UCloud2015公有雲安全報告:漏洞攻擊增速超40%2016-03-02

Linux底層函數庫“glibc”再現重大安全漏洞2016-02-18

新型php漏洞挖掘之debug的安全漏洞(Edusoho)2016-02-16

點擊查看原文

相關鏈接